La ciberseguridad dejó de ser un asunto exclusivo del área de sistemas. En 2026, se consolidó como un riesgo estratégico que impacta directamente en ingresos, reputación y continuidad operativa.
La última Encuesta Global de PwC a gerentes generales identifica el riesgo cibernético como la principal amenaza para el 28% de los ejecutivos uruguayos. El dato no sorprende a Marcela Mercapidez, CEO de Sabyk, firma especializada en resiliencia digital.
Hoy el riesgo cibernético es riesgo de negocio. Ya no es algo que el CEO pueda mirar de lejos o delegar sin involucrarse
El escenario combina nuevas vulnerabilidades —vinculadas al uso intensivo de inteligencia artificial, la volatilidad geopolítica y el espionaje digital— con amenazas conocidas pero cada vez más dañinas: ransomware, fraude, robo de credenciales y explotación de vulnerabilidades.
Para Gabriel Croci, consultor senior de la firma, el problema no es solo técnico sino de gestión. “Muchas organizaciones siguen reaccionando. Lo que cambia el resultado es anticipar y ordenar”. afirmó.
De la seguridad técnica a la resiliencia empresarial
El concepto que gana terreno es el de ciber-resiliencia: la capacidad de anticipar, resistir, responder y recuperarse frente a incidentes.
Mercapidez sostuvo que no se trata necesariamente de grandes inversiones. “No es complejidad ni presupuesto infinito. Es disciplina, priorización y foco en lo esencial”.
Desde Sabyk proponen un modelo de cinco pilares que funciona como un ciclo continuo de mejora.
1. Gobernanza: asumir el liderazgo
El primer paso es tratar el riesgo cibernético como cualquier otro riesgo empresarial. Esto implica designar un responsable con autoridad clara y reportes periódicos al nivel ejecutivo.
A eso se suman políticas básicas: autenticación multifactor, reglas de contraseñas, gestión de accesos remotos, copias de seguridad y protocolos de respuesta ante incidentes.
“La ambigüedad es uno de los mayores riesgos. Si no está claro quién decide y quién supervisa, el problema queda difuso”, señaló Croci.
2. Evaluar y priorizar
El segundo eje es identificar qué activos y procesos son realmente críticos. Inventariar correo, servidores, endpoints, red, nube, aplicaciones y terceros con acceso es una condición mínima.
También recomiendan clasificar la información según su sensibilidad y utilizar matrices de probabilidad e impacto para priorizar controles en cuentas privilegiadas, accesos remotos, backups y sistemas de pago.
Sin esa radiografía, advierten, las inversiones suelen dispersarse.
3. Cumplir y poder probarlo
En un entorno regulatorio cada vez más exigente, no alcanza con cumplir: hay que demostrarlo.
El mapa de obligaciones debe contemplar protección de datos personales, compromisos contractuales y requisitos vinculados a medios de pago. La gestión de terceros —con autenticación multifactor y principio de mínimo privilegio— es un punto crítico.
“Cada vez más contratos incluyen cláusulas de notificación de incidentes y exigencias de evidencia. La trazabilidad ya no es opcional”, explicó Mercapidez.
4. Operación diaria: reducir la superficie de ataque
La prevención sigue siendo central. Actualizaciones automáticas, revisión de firmware, configuración segura de redes, segmentación de Wi-Fi y protección de endpoints son prácticas básicas que reducen significativamente la exposición.
Pero también es clave contar con un playbook de respuesta que defina cómo contener, erradicar y recuperar ante un incidente, junto con simulacros periódicos.
“El tiempo de detección define el impacto. Un ataque contenido en horas no es lo mismo que uno descubierto semanas después”, afirmó Croci.
5. Continuidad: prepararse para el peor escenario
El quinto pilar se enfoca en garantizar que la organización pueda seguir operando o recuperarse dentro de tiempos aceptables.
Backups automatizados, copias fuera del sitio e incluso inmutables, junto con pruebas periódicas de restauración, son parte del estándar recomendado.
A eso se suma un análisis de impacto al negocio que determine qué procesos no pueden interrumpirse y cuánto tiempo es tolerable de caída. “Sin esa definición previa, en una crisis las decisiones se toman bajo presión y con información incompleta”, advirtió Mercapidez.
Un cambio cultural en la alta dirección
Con base en Uruguay y operaciones en varios países de la región, Sabyk trabaja con más de 60 organizaciones en iniciativas de resiliencia digital.
Para sus directivos, el cambio que se consolida en 2026 es cultural: la ciberseguridad pasó a formar parte del gobierno corporativo.
“La pregunta ya no es si la empresa será atacada. Es cuándo y qué tan preparada estará para responder”, concluyó Croci.
En un entorno donde la digitalización avanza y los riesgos escalan en sofisticación, la diferencia entre una crisis y una recuperación ordenada empieza, cada vez más, en la mesa del directorio.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.